Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。
仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?
2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。
数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。
ファイルなしボットは、以下の5つのステップで情報を盗み出す。
ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ(マスターサーバ)へリダイレクトされる。
マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス(javaw.exe)に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する(これについては後述する)。
ライフネット生命が13年間で培ったオンライン専業ならではの「顔が見える接客」とは?
既存のビジネスがデジタルを起点としたものに生まれ変わる上では、カスタマージャーニー...
「Salesforce Customer 360」を強化するMuleSoftの役割とは?
MuleSoftが日本市場での事業拡大ため、組織体制の強化、Salesforceとのシナジー最大化、...
「パーソナライゼーションエンジン」 売れ筋TOP10
オンラインショッピングの顧客体験と売り上げを向上させる「パーソナライゼーションエン...